Empezamos con algo de forense, concretamente con el siguiente reto: (https://www.root-me.org/es/Challenges/Forense/Command-Control-level-2)
Gracias a @jbono (https://underc0de.org/foro/index.php?action=profile;u=62150) por enseñarme la herramienta volatility :P
El reto nos pide lo siguiente:
Unfortunately you forget to write down the workstation hostname
Para ello, descargaremos el dumpeo de memoria y comenzaremos a analizarlo.
(https://accessgranted.es/wp-content/uploads/2016/retos/6/1.png)
(https://accessgranted.es/wp-content/uploads/2016/retos/6/2.png)
Comenzamos a buscar el nombre de la máquina, para ello, accedemos a la entrada de: "Machine\System", ya que, si buscamos algo del sistema (como el nombre), deberá estar ahí no? :D
(https://accessgranted.es/wp-content/uploads/2016/retos/6/3.png)
Continuamos profundizando en las rutas hasta encontrar la entrada que queremos:
(https://accessgranted.es/wp-content/uploads/2016/retos/6/4.png)
(https://accessgranted.es/wp-content/uploads/2016/retos/6/5.png)
Encontramos ComputerName, por tanto, ya casi lo tenemos!
(https://accessgranted.es/wp-content/uploads/2016/retos/6/6.png)
Y listo! Ahí está nuestra flag :D
(https://accessgranted.es/wp-content/uploads/2016/retos/6/7.png)
Sin duda un buen reto que nos permite conocer esta gran herramienta.
Un saludo,
Blackdrake.